常规漏洞综合描述

bp介绍

image-20230314192535968

image-20230314192548830

image-20230314192602206

image-20230314192613399

暴力破解

用所有可能的账户名密码组成字典,进行登录尝试

image-20230314192649071

image-20230314192713666

image-20230314192725784

image-20230314192736744

pikachu

image-20230314192755051

sql注入

前端提供了输入参数的功能,后端语句对数据库进行了操作,用户输入的参数打断了原有sql语句的功能

image-20230314192820255

xss

js代码可控

js代码可以做的事情,xss都可以做

文件上传

上传一个一句话木马,利用软件链接木马,可以实现对远程服务器cmd的使用,文件可视化管理

上传脚本文件,脚本提供接收前端参数的功能,并且脚本提供执行命令的函数

文件包含

本地文件包含

如果文件有代码,会将包含文件以php文件的类型解析

image-20230314192903091

远程文件包含

image-20230314192919778

image-20230314192931220

csrf

跨站请求伪造

image-20230314192951097

ssrf

服务器请求伪造

伪造服务器的请求

百度翻译

image-20230314193032562

image-20230314193048078

命令执行

让远程的web服务器在自己的命令行执行命令

未授权

登录后才能访问的内容,直接访问url就行能访问到